不同的人往往從不同的角度將某個時期稱為“XX時代”,以強調某件事或某件事。
人對社會的重要影響。這裏所說的網絡是指使用計算機和其他電信設備作為用戶終端和現代
綜合電信網是壹條傳輸鏈路,以交換設備和處理設備為節點,以各種信息為負載的集合。
。這種網絡對當代社會的經濟、政治、文化、軍事和人們的生活都有很大的影響。
響,於是越來越多的人認為我們的社會已經進入了“網絡時代”。
從下面的數據和例子,我們可以看出網絡對社會的影響很大:
全世界有5億多網民,中國有4500多萬,網外還有照片。
當專網用戶數量。
全球已發現45000多種計算機病毒,每年造成的經濟損失超過65438美元+0.6萬億。
2002年9月2日,《中國青年報》在網上有兩篇報道。有壹篇文章說張小姐8月24日在雲南麗江。
我乘坐的大巴車墜入山谷,張小姐第三腰椎壓縮性骨折。如果不及時治療,她可能終身殘疾,這是很遙遠的事。
深圳的壹個朋友在網上求助,得到了民航的特別包機,讓患者在27年26日轉到了廣州中山二附院。
24日手術及時進行,網絡為她贏得了搶救時間;另壹篇是關於7月23日11: 15到12: 30的資本。
國際機場因網絡故障而“癱瘓”,延誤了60個航班、6000多名乘客的航班,並提到7月5日。
深圳證券交易所因網絡故障而關閉數小時的嚴重事故。
在網絡時代,網絡給社會帶來了前所未有的機遇和挑戰。網絡的正常運行給社會帶來的
取得了巨大的進步和財富,網絡的不安全也會造成意想不到的災難和損失。網絡正在加速發展。
只有擴大覆蓋面,加速向各個領域滲透,加速改變傳統規則,才能提高網絡安全。
性,趨利避害,才能跟上互聯網時代的步伐。
網絡安全的主要觀點
網絡安全的目標
確保網絡的物理安全,從物理上保護網絡,防止網絡被破壞。
保證網絡的邏輯安全,也就是用邏輯隔離來保證信息的機密性和完整性。
完整性、可用性、可控性、真實性(授權
Icity)和不可否認性。保密性確保信息不會被未經授權的人解讀;結束
完整性確保信息不會被添加、刪除、篡改或銷毀;可用性保證信息確實是為了授權用戶的正常操作;
可控性保證網絡和信息能夠被安全監控;真實性確保所接收的信息確實是由發送者發送的
不是假的;不可否認性保證了發送方無法否認他發送給接收方的信息,並且可以通過數字證據獲取證據。
證據保全便於公證員和仲裁員依法介入和管理網絡。
要保證網絡管理的安全,首先要選擇信得過的人,其次管理部門和管理者要有足夠的人。
足夠的安全知識,制定相應的法律法規和制度,加強行政管理,預防為主。
安全不是絕對的。
安全是壹個與風險密切相關的概念,只有在壹定的風險範圍內才是安全的,而不是絕對的。
的安全。
網絡* * *享受和網絡威脅是壹對共生體。網絡開放度和* * *享受度越高,網絡面臨的威脅就越多。
越高。換句話說,網絡的可用性越高,網絡的安全性就越低。網絡存在安全漏洞在所難免。
網絡的攻擊是不可避免的,只是為了盡可能降低被攻破的概率。
網絡信息戰已經出現。
網絡信息戰是指爭奪網絡信息控制權的軍事鬥爭,目的是癱瘓敵方指揮。
自動化系統。
網絡信息戰的作戰形式有指揮控制戰、電子戰、情報戰、心理戰、黑客戰等。
1991海灣戰爭中,美軍首次在實戰中使用計算機病毒並取得勝利,網絡信息戰開始。
首先應用於戰爭;此後,在南斯拉夫科索沃戰爭和俄羅斯車臣戰爭中,2001,都使用了中美戰機。
撞機事件是由導火索引發的中美黑客大戰。發生在20065438年美國“9.11”恐怖襲擊事件中。
網絡信息戰的陰影。
許多軍事專家壹直在研究網絡信息戰的各個方面,甚至把網絡信息攻擊視為現代。
戰爭的殺手。可以想象,在不久的將來,軍隊編制中網絡戰部隊甚至網絡軍隊的出現是完整的。
有可能。
密碼學是網絡信息安全的核心和基礎技術。
密碼的主要作用是把信息的涉密屬性變成公開屬性,這樣那些涉密信息就可以公開了。
* * *網絡中的存儲、傳輸和交換。
密碼學可以用於信息加密、信息認證、數字簽名、授權控制、加密隧道和密鑰管理。
另壹方面,截取信息的人無法用現階段可用的計算資源破譯。
秘密都在密鑰裏,這是密碼學家的基本信條。攔截器可以攔截密文,但是只要拿不下來。
到關鍵,應該是無法破譯的。
加密有嚴格的程序和數學算法,而解碼要靠豐富的經驗、廣泛的聯想和恰當的技巧。
是的。世界上沒有不可破解的密碼,但往往受到物力、財力、時間、條件的制約。
只有聰明人會贏。
簡單的加密只能麻痹自己,方便敵人。最好不要加密。
網絡安全不可能壹勞永逸。
網絡安全和網絡威脅是壹對矛盾,它們在動態中變化、發展,在鬥爭中前進。
網絡安全措施不是萬能的,但是沒有網絡安全措施是萬萬不能的。
網絡安全的重點是提高網絡的持久性,允許壹些非法入侵,允許壹些組件被破壞,被允許。
雖然有些組件不可靠,但網絡仍然可以合理分配資源,在結構上重新組織資源,仍然可以完成其主要任務。
。
網絡安全要在定期評測中利用最新的技術成果不斷提高,不能壹勞永逸。
網絡安全投資
網絡安全產業包括兩部分:安全設備和安全服務。安全設備包括防火墻、防病毒軟件和加密。
編碼器、訪問控制、安全認證、加密隧道的構建等。安全服務包括安全咨詢和安全風險評估。
、項目實施、整體解決方案、安全培訓、售後技術支持、產品升級等。
網絡安全產業的國際投資約占網絡產業的10%-15%,其中安全設備和安全服務
投資比例接近1: 1,安保服務的投資比例會隨著時間的推移而增加。專家不期望
近期還會有“在線110”、“在線警察”、“在線急救隊”。
做網絡安全的理性用戶
理性用戶應遵守法律法規,執行相關網絡安全技術標準和規範;聽專家咨詢
討論並制定與網絡發展相協調的安全計劃;精心挑選和掌握產品的真實性能指標;關註最新技術
操作,動態調整安全方案,做好安全應急措施。
網絡安全的基本對策
建立網絡安全體系結構
網絡安全體系結構是壹個理論基礎,它可以使網絡安全建設輪廓豁達、有序、全面。
考慮周到,相對完善。
國外壹些政府部門、研究機構和公司已經提出了壹些網絡安全體系結構的模型。
在此基礎上,詹先生提出了適合中國國情的模型,即WPDRRC(預警、防護、檢測、響應和恢復)。
以及反擊)。預警是指預測網絡可能受到的攻擊,評估面臨的風險,為安全決策提供依據;保護
防護是指根據不同等級的安全要求,采取不同等級的防護;檢測是指動態地、實時地發現網絡。
威脅的性質和程度;應對是指及時處理危及安全的事件,減少危害。
到最低限度;恢復是指采用容錯、冗余、替換、修復、壹致性保證等技術,快速恢復網絡。
正常工作;反擊是指獲取犯罪證據的能力和打擊手段。
私有網絡和互聯網之間的隔離
2002年8月5日,國家信息辦發文要求“電子政務網絡由政府內網和外網組成。
兩網有機隔離,政務外網與互聯網邏輯隔離。“其他部門和單位也有類似的。
要求。
物理隔離就是兩個網絡之間沒有數據流,沒有可以享用的存儲和通道。物理學
隔離的實現方案包括:支持雙主機單終端的終端切換方案;雙磁盤,雙網卡的物理隔離器。
案例;具有雙網隔離功能的隔離網卡方案;外網使用獨立硬盤,內網使用服務器端統壹。
存儲隔離方案;後來出現了雙主板,單CPU,通過硬件架構隔離的方案。用戶
妳可以靈活設計自己的物理隔離方案,但它仍然無法抵禦無意的疏忽和來自內部的有意攻擊。
邏輯隔離是指兩個網絡之間只允許合法的數據交換,不允許非法的數據流進入私網。
網。邏輯隔離可以通過使用防火墻、網關等來實現。例如,校園網和互聯網通過防火墻相互連接,以防止
防火墻可以將互聯網上的色情、恐怖、邪教宣傳等信息擋在校園網之外。但是防火墻是外部的。
在沒有防禦的情況下,防火墻的標簽辨別能力仍然存在大量的盲點,防火墻本身也往往存在漏洞,使得攻擊者有機可乘
如果有縫隙,防火墻的過濾規則定義不當,就會出現“漏網之魚”。如果防火墻不能適應新的情況,
安全威脅的即時升級更新也將名存實亡。
另外需要指出的是,為了安全關網,是因為噎廢食;為了安全起見,與外部網絡物理隔離,
會把內網變成“信息孤島”,大大降低使用效率;采用相對完善的安全方案來構建內部網
與外網(包括互聯網)安全互聯,讓專網用戶也能享受互聯網的豐富資源,這就是網絡。
網絡發展是“大禹治水”的硬道理
防火墻技術
防火墻是專用網絡和互聯網之間的壹種通信,或者是互聯網的壹部分和其余部分之間的通信,按照壹定的規則。
壹種系統,其中信息交換受到有條件的控制(包括隔離),從而阻止網絡之間不需要的通信。
防火墻可以通過硬件、軟件或軟硬件結合來實現。防火墻可以根據應用程序進行劃分。
企業防火墻和個人防火墻按技術原理可分為包過濾型和應用網關型,又可分為工作模式。
橋接模式和路由模式。
防火墻可以加強訪問控制,為專網提供信息過濾、應用層特殊代理和日誌分析統計。
報告,並為用戶執行“密鑰密碼+防火墻壹次性密碼”雙因素認證等功能。
防火墻的介入不應該對網絡的效率造成太大的影響,在正常工作時應該能夠阻止或捕捉非法入侵者。
特別是防火墻壹旦被攻破,應該能夠重啟並恢復正常工作狀態,從而將對網絡的損害降到最低。
下限。
訪問控制技術
訪問控制是壹種確定哪些網絡資源(如內存、I/O、CPU、數據)的方法
圖書館等。)什麽樣的授權,什麽樣的訪問(比如讀、寫、運行等。)機制。
訪問控制可以分為身份訪問控制、內容訪問控制、規則訪問控制、環境訪問控制和數據訪問控制。
標簽和其他類型。
常見的訪問控制技術包括口令、權限標記、安全標記、訪問控制列表和矩陣以及訪問持久化。
時間限制等。
訪問控制必須遵循最小特權原則,即用戶沒有合法訪問授權之外的其他訪問特權。
對,確保有效防止超權限訪問造成的網絡損失。
值得指出的是,門禁的強度不是很高,不會絕對安全,比如密碼壹。
壹般都很短,有壹部分人知道的特征,所以更容易被猜到或者被破。
執行禁用位
計算機病毒是壹種侵略性的程序,它可以修改其他程序或將自己的副本插入其他程序。
要感染計算機網絡,病毒通常具有破壞性作用,並通過在線信息交換迅速傳播。
第壹步:破壞網上信息的完美。
計算機病毒具有非授權可實施性、隱蔽性好、傳染性強、潛伏性和破壞性深的特點。
性傳播廣泛,有條件觸發,新病毒層出不窮。
計算機病毒的危害是多種多樣的。病毒程序會消耗資源,降低網絡速度;病毒可以幹擾和改變。
改變用戶終端的圖像或聲音,使用戶無法正常工作:壹些病毒還可以破壞文件、內存和軟件。
和硬件,以至於部分網絡癱瘓;有些病毒會在硬盤上設置遠程* * *共享區,形成後門,為黑客大開方便之門。
方便之門。
反病毒技術包括四個方面:病毒檢測(virus detection),以及自動報警和攔截;病毒清除(殺死)
毒),幹凈徹底,不危害網絡;網絡修復,根據相關線索搶救丟失的數據,使網絡
網絡恢復正常工作;病毒預防(免疫)通常是利用軟件補丁不斷彌補網絡漏洞,從而彌補。
同時,殺毒軟件也要及時升級,保持其足夠的“殺傷力”。
網絡病毒種類繁多,分類方法也多種多樣。根據病毒分類的算法,有伴生病毒(最早的壹種)
病毒)、“蠕蟲”病毒(如莫裏斯病毒1998)、寄生病毒(新發現的病毒基本都是
就是這種),比如幽靈病毒,裝甲病毒,詐騙病毒,慢作用病毒,輕微傷害病毒,噬菌體病毒,抗。
反病毒和全面病毒等。;廣大網民容易理解的,按照應用情況分為互聯網病毒和電。
子郵件病毒、宏病毒、Windows病毒、DOS病毒、黑客程序等應用病毒。這條路有壹英尺高。
魔高壹尺道高壹丈,只有“勇敢+智慧+堅韌”的壹方,才能贏得對抗病毒的戰鬥。
入侵檢測技術
入侵檢測被認為是繼防火墻和信息加密之後的新壹代網絡安全技術。入侵檢測是指
在某個網段上(例如在防火墻中),盡早發現具有入侵特征的網絡連接,並立即報警和斷開。
斷開或其他處置。
入侵檢測不同於防火墻監控的入侵特征。防火墻監控數據流的結構特征,例如
源地址、目的地址、端口號等。,這些特征肯定會在數據流中的特定位置表現出來;和入侵檢測
監視數據內容中包含的攻擊特征通常是有益的,例如數據流中大量連續Nop填充碼的出現。
慢下來;溢出中間區域漏洞的攻擊程序使數據流內容發生變化。但是還是有壹些條目。
入侵不會導致數據流中的攻擊特征串,而是壹種異常的群體行為模式,必須進行劃分
通過綜合分析可以發現布入侵檢測系統。
入侵檢測的難點在於檢測時間和響應時間之和必須小於攻擊時間
隨著計算機速度的提高,時間往往在微秒甚至納秒級;有數以千計的攻擊特征,包括已知的和
如果有未知,入侵檢測的算法也要做相應的改進:網絡寬帶越來越大,在線數據流量已經是巨量。
海量,檢測這麽龐大的數據流,真的是“大海撈針”;入侵檢測應該及時發現非法入侵並將其捕獲。
是壹場不折不扣的保護特征、防止毀滅證據、反擊的高科技戰爭。
虛擬安全專用網(VPN)
VPN是指服務提供商利用公共網絡(如互聯網)將多個用戶子網連接成壹個私有網絡。VPN是
邏輯網絡,而不是物理網絡,既有公網的豐富資源,又有專網的安全性和靈活性。
做愛。
目前公網都是基於IP網間協議。為了解決IP數據流的安全問題,IETF (Internet worker)
過程工作組)制定了Ipsec(IP安全標準)。Ipsec采用兩種安全機制:壹種是AH(IP認證頭)
),對IP數據進行強密碼驗證,並進壹步提供數據完整性認證和來源認證;另壹個是ESP(IP數據
封裝安全載荷),通過加密IP數據提供數據完整性和機密性,ESP分為隧道加密。
(即完全加密整個IP數據)和IP數據有效載荷加密方法。
Ipsec是壹種端到端的安全機制。Ipsec工作在互聯網協議的第三層,即互聯網協議層,因為
這個位於第四層的TCP協議(傳輸控制協議)可以工作在Ipsec上,無需任何改變。
其他網絡安全對策
除上述措施外,網絡安全還應采取以下對策:
強度適當的密碼算法,密碼永遠是網絡安全的基石,是所有安全對策的核心;
采用安全的操作系統;
采用電磁防護措施,壹方面要防止有用信息的電磁泄漏和發射,另壹方面要采取防電磁措施
幹擾傳輸模式;
采取防雷措施;
采取適當的實物保護措施;
加強行政管理,完善規章制度,嚴格選人用人,涉法涉網。
結束語
網絡是我們馳騁的廣闊天地,網絡出口和IP地址為我們劃定了網絡疆域。網絡世界
森林裏充滿了各種有用的資源,但也隱藏著許多“陷阱”,壹場沒有硝煙的戰爭正在進行。
戰鬥。“保存自己,消滅敵人”是我們的基本原則。為了實現網絡安全,我們必須不斷學習。
跟上網絡發展的步伐;聽取並尊重專家的建議,謹慎做出安全決策;多種安全對的綜合使用
確保適度網絡安全的政策;動態改進安全對策;力爭占領安全制高點。